Platform
drupal
Component
drupal
Opgelost in
9.7.0
9.7.1
CVE-2026-3213 is een Cross-Site Scripting (XSS) kwetsbaarheid in de Drupal Anti-Spam by CleanTalk module. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om kwaadaardige scripts te injecteren in webpagina's, wat kan leiden tot het stelen van gebruikersgegevens of het uitvoeren van ongeautoriseerde acties namens de gebruiker. De kwetsbaarheid treft versies van Anti-Spam by CleanTalk tot en met 9.7.0. De kwetsbaarheid is verholpen in versie 9.7.0.
CVE-2026-3213 treft de module 'Anti-Spam by CleanTalk' voor Drupal, waardoor een Cross-Site Scripting (XSS)-aanval mogelijk is. Dit betekent dat een aanvaller kwaadaardige code in Drupal-webpagina's kan injecteren, die vervolgens in de browsers van gebruikers wordt uitgevoerd. Deze code kan gevoelige informatie stelen, zoals inloggegevens, of gebruikers doorverwijzen naar kwaadaardige websites. De ernst van deze kwetsbaarheid is CVSS 4.7, wat een matig risico aangeeft. De oorzaak is een onjuiste neutralisatie van invoer tijdens het genereren van de webpagina. Websites die versies vóór 9.7.0 van de module 'Anti-Spam by CleanTalk' gebruiken, zijn kwetsbaar voor deze aanval. Het is cruciaal om de module bij te werken om dit risico te beperken en de integriteit en veiligheid van gebruikersgegevens te beschermen.
De XSS-kwetsbaarheid in 'Anti-Spam by CleanTalk' kan worden misbruikt door invoergegevens te manipuleren die de module gebruikt om webcontent te genereren. Een aanvaller kan kwaadaardige JavaScript-code injecteren in formuliervelden of andere invoerpunten. Deze code wordt uitgevoerd in de browsers van gebruikers die de getroffen webpagina bezoeken. Een succesvolle misbruik van deze kwetsbaarheid kan de aanvaller in staat stellen gevoelige informatie te stelen, de inhoud van de webpagina te wijzigen of gebruikers door te verwijzen naar kwaadaardige websites. De complexiteit van het misbruik hangt af van de Drupal-siteconfiguratie en de geïmplementeerde beveiligingsmaatregelen. Het gebrek aan voldoende invoervalidatie maakt deze kwetsbaarheid echter relatief gemakkelijk te misbruiken.
Websites utilizing the Drupal Anti-Spam by CleanTalk module and running versions prior to 9.7.0 are at risk. This includes sites with user-generated content, forums, or any functionality that accepts user input, as these are prime targets for XSS attacks. Shared hosting environments using Drupal are particularly vulnerable, as they may not have immediate control over module updates.
• drupal: Use Drupal’s security audit module to scan for outdated modules. Check the Drupal error logs for any unusual JavaScript execution patterns. • generic web: Monitor web server access logs for suspicious requests containing JavaScript code. Use a WAF to detect and block XSS payloads. • wordpress / composer / npm: N/A - This vulnerability is specific to the Drupal Anti-Spam by CleanTalk module. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact database systems.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CVSS-vector
De oplossing voor deze kwetsbaarheid is om de module 'Anti-Spam by CleanTalk' bij te werken naar versie 9.7.0 of hoger. Deze update bevat de nodige fixes om invoer te neutraliseren en de uitvoering van kwaadaardige code te voorkomen. Het wordt aanbevolen om de update zo snel mogelijk uit te voeren om het risico op misbruik te minimaliseren. Controleer bovendien de serverlogboeken op verdachte activiteiten die een poging tot aanval kunnen aangeven. Het implementeren van een robuust webbeveiligingsbeleid, inclusief het valideren en opschonen van alle gebruikersinvoer, is een aanbevolen praktijk om toekomstige XSS-kwetsbaarheden te voorkomen. Periodieke beveiligingsaudits kunnen ook helpen bij het identificeren en corrigeren van potentiële beveiligingsproblemen.
Actualice el módulo Anti-Spam by CleanTalk a la versión 9.7.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS).
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige code in websites kunnen injecteren.
Gebruikers kunnen worden doorverwezen naar kwaadaardige websites, hun informatie kan worden gestolen of de inhoud van de website kan worden gewijzigd.
Als u niet onmiddellijk kunt updaten, overweeg dan om extra beveiligingsmaatregelen te implementeren, zoals een webapplicatiefirewall (WAF).
Er zijn kwetsbaarheidsscanners die u kunnen helpen deze kwetsbaarheid op uw Drupal-site te detecteren.
U kunt meer informatie over deze kwetsbaarheid vinden in de CVE-kwetsbaarheidsdatabase: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-3213
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.